on ossec 2.8.3我正在尝试从windows代理获取rdpvalidation的警报。
这些事件显示在客户端事件日志Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational中,例如eventID 1149
我在我的Windows代理conf文件
<localfile> <location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location> <log_format>eventchannel</log_format> </localfile> 在我的local_rules.xml中的服务器上
<group name="rdesktop"> <rule id="100888" level="1"> <match>Remote Desktop Services</match> <description>Remote Desktop Connection Established</description> </rule> </group>
我没有从远程客户端(如果我使用安全性发送警报)消息,
如果我生成了1149个login事件,我发现有一些stream量从客户端到服务器使用tcpdump,但是在ossec服务器中甚至没有证据甚至是<logall>yes</logall> 。
任何人都可以分享一些见解
非常感谢g。
也许我是误解。 需要在本地规则中添加选项部分?
<options>alert_by_email</options>